SolarWinds : le groupe Nobelium encore actif, selon Mandiant

Des acteurs derrière la compromission de la plateforme Orion de SolarWinds sont toujours actifs, selon Mandiant.

Image : Getty

Il y a un peu plus d’un an, des chercheurs ont découvert que le mécanisme de mise à jour de la plateforme de gestion de réseau Orion de SolarWinds avait été compromis, et qu’environ 1800 organisations dans le monde, dont des fournisseurs de services gérés et de communication, ainsi que leurs clients, avaient été piratés en conséquence.

Dans un suivi plus tôt ce mois-ci, des chercheurs de la firme Mandiant ont déclaré que les groupes à l’origine de cette compromission, dont l’un est surnommé Nobelium par Microsoft, sont toujours en activité.

Le rapport soutient que le groupe qu’il appelle UNC2652, celui que Microsoft appelle Nobelium, cible souvent des entités diplomatiques avec des courriels de hameçonnage qui contiennent des pièces jointes HTML et du code JavaScript.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Mordre à l’hameçon peut avoir un coût amer

Rançongiciels : un groupe avec un nouveau nom sévit au Canada et aux États-Unis

La cybersécurité en 2020 : COVID-19, rançongiciel, Twitter et SolarWinds

SolarWinds : les entreprises renforcent la sécurité avec les fournisseurs

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l'authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.

Des employés de Twilio victimes de textos prétendant provenir du service informatique

Des employés de Twilio sont tombés dans le piège d'une escroquerie par hameçonnage par SMS la semaine dernière, répondant à des messages prétendant provenir du service informatique de l'entreprise qui ont compromis leurs informations d'identification et conduit au vol de données client.

Le nom du Centre antifraude du Canada utilisé dans une campagne d’hameçonnage

Le nom du Centre antifraude du Canada (CAFC), un organisme qui collige pour la police les rapports de fraude de tous types, est utilisé pour une escroquerie par hameçonnage.

Une campagne de hameçonnage associée à une fraude par courriel

Une vaste campagne de hameçonnage vise les organisations utilisant Microsoft Office 365, incitant les victimes à se connecter à une page d'authentification en ligne Office usurpée pour voler leurs informations d'identification et, conséquemment, mener des escroqueries par compromission des courriels professionnels (CCP).

Des modules NPM malveillants téléchargés des milliers de fois

Encore plus de code Javascript malveillant a été découvert dans des modules disponibles sur le référentiel NPM open source, affirment des chercheurs de ReversingLabs, soulignant la découverte la plus récente de bibliothèques non fiables sur des sites open source.